数据库与应用安全实践指南

深度防御体系全覆盖：
安全基础（CIA-DAD原则）
数据库后端（ACID/BASE/加密/灾备）
应用前端（代码审计/SAST/移动安全）
企业级安全管理（合规/法律/应急响应）
直击行业痛点解决方案：
7天×24小时主动监控策略
勒索软件防御实战框架
数据库权限控制（MAC/DAC/RBAC）精解
云环境+移动端新型威胁应对
变更管理×合规审计全流程指南
红队级实操工具包：
真实漏洞复现案例（SQL注入/越权访问）
自动化脚本（日志分析/触发器/加密警报）
NIST/OWASP标准落地指南
Linux/Windows双平台加固教程

本书系统阐述了构建多层次信息安全防护体系的核心内容。基础层面聚焦网络安全（IAAA框架、加密技术、PKI）和目标管理（SMART/OKR、RACI）；技术层面详细探讨了数据库安全（ACID/BASE原则、访问控制MAC/DAC/RBAC/RuBAC、备份、主机安全）和应用程序安全（安全开发、后端架构、加密、自研/采购决策）；管理层面强调主动监控与风险管理（日志、事件/事故区分）、安全管理（最小权限、职责分离、员工培训、渗透测试）以及移动设备安全；企业安全实践则突出了集中管理（CM/CAB）、部门协作和员工安全责任的重要性。本书旨在为数据库从业者在现代安全防护体系中应对各类威胁，提供全方位、系统化的策略、技术以及实践指导。

译者序<br />前言<br />致谢<br />第一部分　IT安全<br />第1章　网络安全基础　2<br />1.1　从早期计算机到网络安全的演进　2<br />1.2　CIA - DAD模型中的安全三要素　3<br />1.3　IAAA　5<br />1.4　深层防御　6<br />1.5　硬件和软件安全　7<br />1.6　防火墙、访问控制和访问控制列表　8<br />1.7　物理安全　8<br />1.8　网络安全相关事项　10<br />1.9　小结　13<br />1.10　习题　13<br />1.11　习题答案　13<br />第2章　IT安全细节　15<br />2.1　加密、压缩、索引和归档　15<br />2.2　加密与算法　17<br />2.3　公钥基础设施　18<br />2.4　电子邮件安全示例　19<br />2.5　不可否认性、身份验证方法（K-H-A）　20<br />2.6　选择新算法　21<br />2.7　小结　21<br />2.8　习题　22<br />2.9　习题答案　22<br />第3章　IT安全目标　24<br />3.1　SMART和OKR　24<br />3.2　RACI　26<br />3.3　创建RACI矩阵　27<br />3.4　战略计划、战术计划和操作计划　28<br />3.5　事件与事故　29<br />3.6　风险、违规和修复　29<br />3.7　IT安全日志　30<br />3.8　重构项目　32<br />3.9　保持更新　33<br />3.10　小结　33<br />3.11　习题　34<br />3.12　习题答案　34<br />第二部分　数据库安全<br />第4章　数据库安全概述　36<br />4.1　数据库的ACID、BASE和CIA合规性　36<br />4.2　ACID、BASE和CIA　36<br />4.3　静态和传输中的数据　38<br />4.4　DDL和DML　40<br />4.5　设计一个安全的数据库　42<br />4.6　数据库结构的安全　44<br />4.7　功能安全　47<br />4.8　数据安全　48<br />4.9　程序安全　50<br />4.10　小结　50<br />4.11　习题　51<br />4.12　习题答案　51<br />第5章　数据访问控制　53<br />5.1　个人和应用程序的访问控制角色　53<br />5.2　不同类型的访问控制　55<br />5.3　密码、登录和维护　59<br />5.4　哈希算法与校验和方法　60<br />5.5　账户管理：锁定、解锁与重置　64<br />5.6　监控用户账户、系统账户　66<br />5.7　数据保护—视图和物化视图　69<br />5.8　个人识别信息（PII）安全—数据、元数据和代理人　72<br />5.9　小结　76<br />5.10　习题　76<br />5.11　习题答案　77<br />第6章　数据刷新、备份和恢复　78<br />6.1　数据更新　78<br />6.2　ETL作业　81<br />6.3　调用ETL作业的安全性　82<br />6.4　Data Pump：导出与导入　84<br />6.5　备份和恢复　87<br />6.6　追踪备份—每日、每周、每月　94<br />6.7　小结　95<br />6.8　习题　96<br />6.9　习题答案　96<br />第7章　主机安全　99<br />7.1　服务器连接和分离　99<br />7.2　IP选择、代理、允许访问节点　102<br />7.3　访问控制列表　103<br />7.4　连接系统/数据库：密码、智能卡、证书　106<br />7.5　定时任务或任务调度器　111<br />7.6　定期监控和故障排除　114<br />7.7　小结　117<br />7.8　习题　117<br />7.9　习题答案　118<br />第8章　主动监控　119<br />8.1　日志监控　119<br />8.2　数据操作监控　120<br />8.3　数据结构监控　125<br />8.4　第三方或内部审计　128<br />8.5　日志文件生成　134<br />8.6　小结　140<br />8.7　习题　141<br />8.8　动手实践　141<br />8.9　习题答案　142<br />第9章　风险、监控与加密　143<br />9.1　安全术语　143<br />9.2　风险处理、风险缓解、风险转移、风险避免和风险忽视　145<br />9.3　系统化数据库监控　148<br />9.4　加密数据库：算法选择　150<br />9.5　自动提示　152<br />9.6　小结　152<br />9.7　习题　153<br />9.8　习题答案　153<br />第三部分　应用程序安全<br />第10章　应用程序安全基础　156<br />10.1　编码标准　157<br />10.2　软件开发过程　162<br />10.3　模型和选择　165<br />10.4　内聚与耦合　167<br />10.5　开发环境、测试环境和生产环境　168<br />10.6　客户端和服务器端　170<br />10.7　软件安全问题引起的不良后果　179<br />10.8　修复SQL注入攻击　179<br />10.9　评估用户输入　180<br />10.10　进行后端数据库检查　181<br />10.11　变更管理—使用统一的语言　181<br />10.12　安全登录应用程序和用户访问权限　183<br />10.13　小结　187<br />10.14　习题　187<br />10.15　习题答案　188<br />第11章　看不见的后端　190<br />11.1　Java/Tomcat中的后端数据库连接　200<br />11.2　代码中的连接字符串和密码　202<br />11.3　存储过程和函数　203<br />11.4　文件加密、类型和关联　208<br />11.5　实施公钥基础设施和智能卡　211<br />11.6　Java和Linux环境密钥对的示例　212<br />11.7　对称加密　214<br />11.8　非对称加密　215<br />11.9　漏洞、威胁与网络安全　215<br />11.10　攻击类型及其防范措施　216<br />11.11　小结　219<br />11.12　习题　219<br />11.13　习题答案　220<br />第12章　确保软件安全：自研与供应商采购　221<br />12.1　内部开发与供应商　221<br />12.2　供应商软件或商用现货软件　222<br />12.3　行动计划　223<br />12.4　内部软件开发　224<br />12.5　内部软件开发初期的考虑　225<br />12.6　代码安全检查　227<br />12.7　修复最终产品—SAST工具　228<br />12.8　产品测试与发布的精细调校　233<br />12.9　补丁和更新　234<br />12.10　产品退役/停用　236<br />12.11　小结　238<br />12.12　习题　238<br />12.13　习题答案　239<br />第四部分　IT安全管理<br />第13章　IT安全管理基础　242<br />13.1　最小权限原则、知其所需原则、职责分离原则　242<br />13.2　安全管理部门中的重要角色　244<br />13.3　用户权限蔓延　246<br />13.4　变更管理　248<br />13.5　记录过程　250<br />13.6　法律责任　257<br />13.7　软件分析　259<br />13.8　网络分析　260<br />13.9　硬件或设备分析　260<br />13.10　采取主动安全策略　261<br />13.11　小结　265<br />13.12　习题　266<br />13.13　习题答案　266<br />第14章　遵循已验证的网络安全之道　268<br />14.1　IT安全团队的优势　268<br />14.2　渗透测试　270<br />14.3　渗透测试报告　278<br />14.4　审计　279<br />14.5　行动安全　286<br />14.6　数字取证　287<br />14.7　总结经验，持续改进　289<br />14.8　小结　291<br />14.9　习题　291<br />14.10　习题答案　292<br />第15章　移动设备与应用程序安全　293<br />15.1　身份验证　293<br />15.2　密钥　296<br />15.3　代码质量与注入攻击　297<br />15.4　设备上的用户隐私　297<br />15.5　描述性声明　298<br />15.6　安全软件开发声明　298<br />15.7　沙盒　299<br />15.8　移动应用安全测试　301<br />15.9　NIST移动应用安全验证标准　302<br />15.10　小结　305<br />15.11　习题　306<br />15.12　习题答案　306<br />第16章　企业安全实践　308<br />16.1　案例1—新员工入职　311<br />16.2　案例2—员工被解雇或离职　313<br />16.3　案例3—在岗员工凭证续期　313<br />16.4　案例4—在岗员工增加或减少权限　314<br />16.5　案例5—访客或供应商来访　315<br />16.6　数据库和应用程序的物理安全　315<br />16.7　业务连续性和容灾　317<br />16.8　攻击与损失—识别和补救　319<br />16.9　数据恢复　321<br />16.10　复工复产　322<br />16.11　勒索软件攻击的经验教训　326<br />16.12　小结　329<br />16.13　习题　330<br />16.14　习题答案　330